ব্ল্যাক হ্যাট ইউরোপ 2022 - লন্ডন - CoinStomp. রক্ষী কুকুর. ডেনোনিয়া.
এই সাইবার অ্যাটাক প্রচারাভিযানগুলি ক্লাউড সিস্টেমগুলিকে লক্ষ্য করে আজকে সবচেয়ে বড় হুমকির মধ্যে রয়েছে - এবং তাদের সনাক্তকরণ এড়াতে সক্ষম হওয়া উচিত ভবিষ্যতের সম্ভাব্য হুমকিগুলির একটি সতর্কতামূলক গল্প হিসাবে কাজ করা উচিত, একজন নিরাপত্তা গবেষক আজ এখানে বিস্তারিত বলেছেন।
"সাম্প্রতিক ক্লাউড-কেন্দ্রিক ম্যালওয়্যার প্রচারাভিযানগুলি প্রমাণ করেছে যে প্রতিপক্ষ গোষ্ঠীগুলির ক্লাউড প্রযুক্তি এবং তাদের নিরাপত্তা ব্যবস্থা সম্পর্কে অন্তরঙ্গ জ্ঞান রয়েছে৷ এবং শুধু তাই নয়, তারা তাদের সুবিধার জন্য এটি ব্যবহার করছে,” বলেছেন ক্যাডো সিকিউরিটির হুমকি গোয়েন্দা প্রকৌশলী ম্যাট মুইর, যিনি তার দল অধ্যয়ন করা সেই তিনটি প্রচারের বিশদ ভাগ করেছেন।
যদিও তিনটি আক্রমণ অভিযান এই সময়ে ক্রিপ্টোমিনিং সম্পর্কে, তাদের কিছু কৌশল আরও ঘৃণ্য উদ্দেশ্যে ব্যবহার করা যেতে পারে। এবং বেশিরভাগ অংশে, এই এবং অন্যান্য আক্রমণগুলি মুয়ারের দল দেখেছে ভুল কনফিগার করা ক্লাউড সেটিংস এবং অন্যান্য ভুলগুলিকে কাজে লাগাচ্ছে৷ মুইরের মতে, বেশিরভাগ অংশের অর্থ হল ক্লাউড গ্রাহক শিবিরে তাদের বিরুদ্ধে রক্ষা করা।
"বাস্তবভাবে এই ধরণের আক্রমণের জন্য, এটি [ক্লাউড] পরিষেবা প্রদানকারীর চেয়ে ব্যবহারকারীর সাথে আরও বেশি কিছু করার আছে," মুইর ডার্ক রিডিংকে বলে৷ “তারা খুব সুবিধাবাদী। ক্লাউড গ্রাহকের দ্বারা আমরা বেশিরভাগ আক্রমণগুলিকে ভুলের সাথে আরও বেশি কিছু দেখতে পাই।
সম্ভবত এই আক্রমণগুলির সাথে সবচেয়ে আকর্ষণীয় বিকাশ হল যে তারা এখন সার্ভারহীন কম্পিউটিং এবং কন্টেইনারগুলিকে লক্ষ্য করছে, তিনি বলেছিলেন। "ক্লাউড সংস্থানগুলির সাথে আপস করা যেতে পারে তা ক্লাউডকে একটি সহজ লক্ষ্যে পরিণত করেছে," তিনি তার উপস্থাপনায় বলেছিলেন, "ক্লাউডে রিয়েল-ওয়ার্ল্ড ডিটেকশন ইভাশন টেকনিক. "
DoH, এটি একটি ক্রিপ্টোমাইনার
ডেনোনিয়া ম্যালওয়্যার ক্লাউডে AWS Lambda সার্ভারহীন পরিবেশকে লক্ষ্য করে। "আমরা বিশ্বাস করি এটি সার্ভারহীন পরিবেশকে লক্ষ্য করার জন্য সর্বজনীনভাবে প্রকাশিত ম্যালওয়্যার নমুনা," মুইর বলেছেন। যদিও ক্যাম্পেইনটি নিজেই ক্রিপ্টোমিনিং সম্পর্কে, আক্রমণকারীরা কিছু উন্নত কমান্ড এবং নিয়ন্ত্রণ পদ্ধতি ব্যবহার করে যা নির্দেশ করে যে তারা ক্লাউড প্রযুক্তিতে ভালভাবে অধ্যয়ন করছে।
ডেনোনিয়া আক্রমণকারীরা একটি প্রোটোকল নিয়োগ করে যা HTTPS (ওরফে DoH) এর উপর DNS প্রয়োগ করে, যা HTTPS-এর মাধ্যমে DoH-ভিত্তিক সমাধানকারী সার্ভারে DNS প্রশ্ন পাঠায়। এটি আক্রমণকারীদের এনক্রিপ্ট করা ট্র্যাফিকের মধ্যে লুকানোর একটি উপায় দেয় যাতে AWS তাদের দূষিত DNS লুকআপ দেখতে পারে না। "এটি DoH ব্যবহার করার প্রথম ম্যালওয়্যার নয়, তবে এটি অবশ্যই একটি সাধারণ ঘটনা নয়," মুইর বলেন। AWS এর সাথে "এটি ম্যালওয়্যারকে একটি সতর্কতা ট্রিগার করতে বাধা দেয়", তিনি বলেছিলেন।
আক্রমণকারীরা নিরাপত্তা বিশ্লেষকদের বিভ্রান্ত করতে বা বিভ্রান্ত করার জন্য আরও ডাইভারশনে টস করেছে বলে মনে হচ্ছে, ব্যবহারকারী এজেন্ট HTTPS অনুরোধের স্ট্রিংগুলির হাজার হাজার লাইন।
"প্রথমে আমরা ভেবেছিলাম এটি একটি বটনেট বা DDoS হতে পারে … কিন্তু আমাদের বিশ্লেষণে এটি আসলে ম্যালওয়্যার দ্বারা ব্যবহার করা হয়নি" এবং এর পরিবর্তে এন্ডপয়েন্ট সনাক্তকরণ এবং প্রতিক্রিয়া (EDR) সরঞ্জাম এবং ম্যালওয়্যার বিশ্লেষণ এড়াতে বাইনারি প্যাড করার একটি উপায় ছিল , সে বলেছিল.
CoinStomp এবং Watchdog সহ আরও ক্রিপ্টোজ্যাকিং
CoinStomp হল ক্লাউড-নেটিভ ম্যালওয়্যার যা ক্রিপ্টোজ্যাকিংয়ের উদ্দেশ্যে এশিয়ার ক্লাউড নিরাপত্তা প্রদানকারীদের লক্ষ্য করে। এটার প্রধান মোড অপারেশন একটি অ্যান্টি-ফরেনসিক কৌশল হিসাবে টাইমস্ট্যাম্প ম্যানিপুলেশন, সেইসাথে সিস্টেম ক্রিপ্টোগ্রাফিক নীতিগুলি অপসারণ। এটি ক্লাউড সিস্টেমের ইউনিক্স পরিবেশে মিশ্রিত করার জন্য একটি dev/tcp বিপরীত শেলের উপর ভিত্তি করে একটি C2 পরিবারও ব্যবহার করে।
রক্ষী কুকুর, এদিকে, 2019 সাল থেকে প্রায় রয়েছে এবং এটি আরও বিশিষ্ট ক্লাউড-কেন্দ্রিক হুমকি গোষ্ঠীগুলির মধ্যে একটি, মুইর উল্লেখ করেছেন। "তারা ক্লাউড মিসকনফিগারেশনকে কাজে লাগানোর ক্ষেত্রে সুবিধাবাদী, [সেই ভুলগুলি সনাক্ত করে] ভর স্ক্যান করে।"
আক্রমণকারীরা শনাক্তকরণ এড়াতে ওল্ড-স্কুল স্টেগানোগ্রাফির উপর নির্ভর করে, ইমেজ ফাইলের পিছনে তাদের ম্যালওয়্যার লুকিয়ে রাখে।
"আমরা ক্লাউড ম্যালওয়্যার গবেষণার একটি আকর্ষণীয় পয়েন্টে আছি," মুইর উপসংহারে এসেছিলেন। "প্রচারণাগুলিতে এখনও প্রযুক্তিগতভাবে কিছুটা অভাব রয়েছে, যা ডিফেন্ডারদের জন্য ভাল খবর।"
কিন্তু আরো আসতে হবে. "হুমকি অভিনেতা আরও পরিশীলিত হয়ে উঠছে" এবং সম্ভবত ক্রিপ্টোমিনিং থেকে আরও ক্ষতিকারক আক্রমণে চলে যাবে, মুইর অনুসারে।
